VPN сервак за NAT'ом
 

До сего момента Win 2008 r2 стоял на шлюзе, натил и принимал vpn. Потом было решено заместо него поставить что-нибудь аппаратное, а его самого упрятать внутрь сетки. В качестве шлюза теперь выступает Apple time capsule. Всё хорошо, но перестал работать vpn.

В спецификации Apple TC сказано, что pptp и gre он должен пробрасывать. pptp порт я прокинул, коннект с клиента идёт, но больше ничего. Не пингует никакой хост, кроме себя. Причем, иногда, после коннекта, пару пингов проходят до сервака. Это похоже на мистику, ведь он должен либо работать, либо нет. Бывает один, два, или три раза пинганет, а потом все, тишина.
Пробовал по разному выдавать ip, через dhcp или через статичный пул. Еще - когда клиент подключается, на серваке в статусе - not nap-capable. Погуглил, ничего вразумительного не нашёл. Еще вопрос - на серваке создаётся два адаптера - один, соответствующий клиенту, и еще один,internal. То есть,

сервак - 192.168.1.99

Клиент подключается, получает айпи 192.168.1.130.

И этот internal адаптер - 192.168.1.125. Причём назначить его нельзя, он сам выбирает. Щас вообще стал 192.168.1.0.

Где копать? как мне определить, это виноват девайс от Apple или все-таки настройки сервака?

Что на TC сделано, чтобы 'пробросить порты' из внешней сети к VPN-серверу?

Проброшен порт 1723

Я еще протестил утилитами pptpsrv и pptpclnt. GRE не проходит. Я сделал default host(DMZ) на внутренний сервак, после этого секунд десять GRE ходили(и пинги), потом всё отвалилось

нужно разрешить GRE, без него работать не будет.

ищите vpn pass through или что-то подобное в настройках роутера

Это понятно :) Только нет порта GRE, который можно пробросить как TCP 1723

info9216, вечером напишу соображения.

это не порт, а протокол. судя по описанию поддержка vpn pass through в этой яблочной капсуле есть, нужно просто ее включить

В том-то и дело, что явно он не включается нигде. Я где-то читал что можно включить ipv6 туннель teredo и это помогает. Я так сделал - ничего не изменилось, да и как Ipv6 связан с gre не понятно. По идее по схеме default host уж точно должно работать, а оно отваливается.
Кстати, какие роутеры(дешёвые, для офиса) не испытывают проблем с pptp & gre?

бред
любые практически. настраивал VPN, который был за NAT-ом самого дешевого модема ZTE

Есть passthrough для PPTP, L2TP, IPSEC, но не для 'vpn'. Он может быть 'по умолчанию' только для исходящих соединений. Поэтому совершенно не факт, что для входящих поддерживается или не требует настройки.

Есть вероятность, что вопрос с passthrough сейчас не самый главный. Как именно выглядит проблема: "и коробочка, и PPP-сервер исправны, только не настроены до конца" или "возможно, что какое-то оборудование неисправно"? Вопросы с настройкой имеет смысл решать только на исправном оборудовании. info9216, Вы писали, что поместили сервер в DMZ и секунд 10 всё работало. И
Я согласен, что в DMZ должно работать, правда, при условии, что с PPP-сервером всё OK. Если 'не работает' - значит, неисправно. Почему этого никто не предполагает?


В том контексте - определённо :)

Вряд ли Вы проделали все действия, необходимые для работы через teredo. В любом случае, через teredo делать 'совсем неправильно'.


info9216, у меня также нет уверенности, что и ваш сервер работает нормально. Вы пробовали с ним соединиться в пределах одной локальной сети? Если маска сети 255.255.255.0, то IP 192.168.1.0 - неверный.

В общем, если не хотите получать общие рекомендации типа 'воткнуть вилку в розетку' ('пробросить GRE'), нужны скриншоты, списки настроек, логи, наконец, мониторинг обмена и т.д., чтобы получить решение конкретно вашей ситуации. Если готовы приложить усилия, можно попробовать.

Можно с другого начать: тупо заменить чем-нибудь TC, настроить точно также и протестировать. Если всё OK, то проблема, скорее всего, 'внутри коробочки'.

обычно за все протоколы отвечает одна-единственная галочка в веб-интерфейсе

>Можно с другого начать: тупо заменить чем-нибудь TC, настроить точно также и протестировать. Если всё OK, то проблема, скорее всего, 'внутри коробочки'.

Вот это послезавтра будет опробовано на обычном dlin'ke) если будет тоже самое - тогда уже будут логи и т.д.))
спасибо за ответы

Скорее всего. На самом деле это я info9216 обучаю, упор сделал на то, что 'vpn' употреблять рядом с 'passthrough' - по-хорошему некорректно. Он вроде бы во многом разбирается (про pptpclnt и pptpsrv впервые услышал), но целостного понимания, кажется, нет.

Я готов подсказать конкретно, что, в каком порядке и как собирать.